情報セキュリティマネジメント平成31年春期 午前問38

午前問38

ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について,JIS Q 27001:2014(情報セキュリティマネジメントシステム−要求事項)の附属書Aの管理策に照らして監査を行った。判明した状況のうち,監査人が監査報告書に指摘事項として記載すべきものはどれか。
  • ソフトウェア開発におけるセキュリティ機能の試験は,開発期間が終了した後に実施している。
  • ソフトウェア開発は,セキュリティ確保に配慮した開発環境において行っている。
  • ソフトウェア開発を外部委託している場合,外部委託先による開発活動の監督・監視において,セキュリティ確保の観点を考慮している。
  • パッケージソフトウェアを活用した開発において,セキュリティ確保の観点から,パッケージソフトウェアの変更は必要な変更に限定している。

分類

マネジメント系 » システム監査 » システム監査

正解

解説

  • 正しい。「セキュリティ機能の試験は,開発期間中に実施しなければならない。」としているため、指摘事項に該当します。
  • 「組織は,全てのシステム開発ライフサイクルを含む,システムの開発及び統合の取組みのためのセキュリティに配慮した開発環境を確立し,適切に保護しなければならない。」としているため、問題ありません。
  • 「組織は,外部委託したシステム開発活動を監督し,監視しなければならない。」としているため、問題ありません。セキュリティに配慮した情報システム実装体制は外部委託先にも適用されます。
  • 「パッケージソフトウェアの変更は,抑止しなければならず,必要な変更だけに限らなければならない。」としているため、問題ありません。パッケージソフトウェアをカスタマイズする過程でバグやセキュリティホールが生じる可能性があるため、変更は必要最小限に抑えるべきです。
© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop